「Googleが、実際に悪用されたChromeの新たなゼロデイ脆弱性を修正 」: #BLEEPINGCOMPUTER
「Googleは、実際に悪用されているChromeの新たなゼロデイ脆弱性を修正するための緊急アップデートをリリースした。これは今年に入ってから修正された5つ目の同様の脆弱性となる。
「Googleは、CVE-2026-11645の脆弱性を悪用する攻撃が実際に発生していることを認識しています」と、同社は 月曜日のセキュリティ勧告 で述べた。
同社は、匿名のセキュリティ研究者がGoogleに報告してから2週間後、Stable Desktopチャネルのユーザー向けにゼロデイ脆弱性を修正し、パッチ適用済みのバージョンをWindows(149.0.7827.102)、Mac(149.0.7827.103)、Linux(149.0.7827.102)システム向けに世界中で展開した。 」
「オックスフォード大学、キャリアプラットフォームへのハッキング後にデータ漏洩があったことを公表 」: #BLEEPINGCOMPUTER
「オックスフォード大学は先週、第三者プロバイダーであるGroup GTIから、同大学のキャリアサービスプラットフォーム「CareerConnect」が侵害されたとの報告を受け、新たなデータ漏洩を公表した。
このプラットフォームは、キングス・カレッジ・ロンドンやマンチェスター大学など、英国の他の教育機関でも、各機関独自のキャリア支援拠点を運営するために利用されている。
1096年に創立されたオックスフォード大学は、43の独立したカレッジからなるカレッジ制の研究大学であり、26,000人以上の学生と5,900人以上の研究、教育、研究支援スタッフを擁し、英語圏で最も古い大学です。 」
「Gogsがリモートコード実行を可能にする重大なゼロデイ脆弱性を修正 」: #BLEEPINGCOMPUTER
「Gogsは、攻撃者がインターネットに接続されたインスタンスを侵害し、あらゆるリポジトリ(プライベートリポジトリを含む)にアクセスすることを可能にする、重大なセキュリティ上のゼロデイ脆弱性を修正しました。
この 引数インジェクションの 脆弱性はまだCVE IDが割り当てられておらず、管理者権限を持たない認証済みの攻撃者のみが悪用でき、0.14.2までのすべてのGogsリリースと0.15.0+devに影響します。
攻撃者はこの脆弱性を悪用して、標的のサーバーを侵害したり、あらゆるリポジトリ(プライベートリポジトリを含む)を読み取ったり、認証情報を盗んだり、ネットワーク上の他のシステムに横方向に移動したり、ホストされているソースコードを改変したりすることができます。 」
「新たなShai-Hulud攻撃により、科学関連のPyPIパッケージ19個がトロイの木馬化される 」: #BLEEPINGCOMPUTER
「ハッカーたちは、PyPI上の19個のパッケージを侵害し、それらを合計で数十万回ダウンロードさせた。これは、開発者の秘密を盗むように設計されたマルウェアを配布する、新たなShai-Huludサプライチェーン攻撃である。
感染したパッケージの多くは、Dynamo、Spateo、CoolBox、U-FISH、Napari-UFISHといった人気の高いバイオインフォマティクスツールである。
この新たな攻撃は、アプリケーションセキュリティ企業のSocketによって発見され、単一のメンテナーから発信されたものと思われる19のパッケージに関する37件の悪意のあるリリースにまで拡大した。 」
「AI搭載Windowsターミナル「インテリジェントターミナル」を実際に使ってみよう 」: #BLEEPINGCOMPUTER
「マイクロソフトは、Windows Terminalのオープンソース版である「Intelligent Terminal」を作成しました。これにより、通常のセッションを妨げることなく、Terminal内でAIを直接利用できるようになります。
マイクロソフトは、インテリジェントターミナルを、エラーの説明、コマンドの作成、端末から離れることなく問題を解決できる組み込みアシスタントだと説明しています。
まず、エージェントは端末で何が起こっているかを常に把握し、コマンドが失敗した場合に支援を提供できます。次に、アクティブなエージェントセッションと過去のセッションを記憶できるため、作業場所を失うことなく以前の作業に戻ることができます。 」
「Meta AIサポートのハッキングで2万件以上のInstagramアカウントが盗まれる 」: #BLEEPINGCOMPUTER
「Metaは、攻撃者がMetaのAI搭載サポートシステムを利用してパスワードをリセットし、2万人以上のInstagramユーザーのアカウントが乗っ取られたという最近の事件を明らかにした。
BleepingComputerが1週間前に報じたように、攻撃者は 同社のHigh Touch Support(HTS)ツールの脆弱性を悪用した。HTSは 、ユーザーがInstagramアカウントからロックアウトされた後にアクセスを回復するのを支援する、AIを活用したサポートシステムである。
HTSは、メールアドレスが標的のInstagramアカウントに関連付けられているかどうかを確認していなかったという事実を悪用し、二段階認証(2FA)が有効になっていないアカウントにログインして乗っ取ることができるパスワードリセットリンクを入手した。 」
「900以上の米国のガソリンスタンドのタンクゲージシステムが攻撃にさらされている 」: #BLEEPINGCOMPUTER
「米国全土に設置されている900以上の自動タンクゲージ(ATG)システムが、様々な重要インフラ分野における燃料および化学物質貯蔵タンクの監視に使用されているにもかかわらず、オンライン上に公開されており、継続的な攻撃に対して脆弱であることが判明した。
ATGシステムは、貯蔵タンク内の燃料、化学薬品、その他の液体を遠隔監視するために使用される電子監視装置であり、在庫管理、環境漏洩検知、および規制遵守を自動化します。ガソリンスタンドで燃料タンクの液面レベルを監視するために一般的に使用されていますが、産業現場で化学薬品貯蔵タンクの監視にも使用されています。 」
Over 900 automatic tank gauge (ATG) systems across the United States, used to monitor fuel and chemical storage tanks across various critical infrastructure sectors, have been found exposed online and are vulnerable to ongoing attacks.
「東芝と無印良品のウェブサイトに、不審なPolyfillログインプロンプトが表示される 」: #BLEEPINGCOMPUTER
「テクノロジー大手の東芝と大手小売業者の無印良品は、自社ウェブサイトに不審なログイン画面が突然表示され、認証情報を収集する可能性があるとして、訪問者に注意を促した。
両社は、認証画面でアカウントのログイン情報を入力したユーザーに対し、サービスにアクセスするためにパスワードを変更するよう勧告した。
ログインポップアップはpolyfill[.]ioでホストされている外部サービスによって生成され、2024年に CDNで配信されるスクリプトに 悪意のあるコードが混入されました。 」
「新たなIronWormマルウェアがnpmサプライチェーン攻撃で36個のパッケージを標的に 」: #BLEEPINGCOMPUTER
「新たなサプライチェーン攻撃により、Node Package Manager(npm)のインデックス上の36個のパッケージが、IronWormと呼ばれる情報窃盗マルウェアに感染した。
このマルウェアは、86個の環境変数(キーと値のペア)と20個の認証情報ファイルを標的としており、これらのファイルにはOpenAI、AWS、Anthropic、npmの認証情報、保管庫の設定ファイル、SSHキー、およびExodus暗号通貨ウォレットファイルが含まれている可能性があります。
サプライチェーンおよびDevOps企業であるJFrogの研究者によると、IronWormはRustで記述されており、eBPFカーネルルートキットの背後に潜伏し、Torネットワークを介してオペレーターと通信する。 」
「クレジットカード窃盗キャンペーンが盗まれた決済情報を保管するためにStripeを悪用 」: #BLEEPINGCOMPUTER
「Magecartの新たな攻撃キャンペーンでは、StripeのAPIインフラストラクチャを利用して、クレジットカード情報を盗むためのペイロードと、決済ページから抜き取られたデータがホストされている。
この悪質な活動はすべて、オンラインストアが暗黙のうちに信頼しているGoogleタグマネージャーとStripeのドメイン(googletagmanager.comとapi.stripe.com)に依存している。
この新たなマルウェアファミリーは、eコマースセキュリティ企業Sansecの研究者によって発見されたもので、悪意のあるコードはGoogleタグマネージャー(GTM)コンテナから読み込まれ、それを読み込むすべてのページで実行されることが判明した。 」
ottoto
